GitHub, la plateforme web collaborative qui permet aux développeurs de stocker et de partager du code, vient d’être victime d’une cyberattaque. Les pirates se sont servis d’une extension Visual Studio Code corrompue pour arriver à leurs fins. Utilisé par des millions de développeurs dans le monde, ce logiciel d’écriture de code peut être enrichi à l’aide de différentes extensions.
A lire aussi : Cyberattaques indétectables – Microsoft neutralise la menace « invisible » qui a fait des ravages en France
Une extension distribuée… pendant seulement 18 minutes
L’extension corrompue s’intitule Nx Console, et elle est initialement conçue pour gérer de gros projets informatiques. C’est uniquement la version 18.95.0 de l’extension qui dispose de fonctions malveillantes. C’est le point de départ de toute la cyberattaque.
Les hackers sont en effet parvenus à mettre au point une version malveillante, taillée pour passer inaperçue. Cette version infectée s’est retrouvée sur la boutique d’extensions officielle de Visual Studio Code pendant seulement 18 minutes. Il n’a pas fallu plus longtemps pour que l’un des employés de GitHub la télécharge et l’installe sur son ordinateur, ouvrant les portes de la plateforme web aux cybercriminels.
En fait, tout a commencé avec TanStack, une suite de bibliothèques open source extrêmement populaire dans le développement web moderne, qui a été compromise en amont. Ces bibliothèques sont distribuées un gestionnaire de paquets standard pour les projets JavaScript, c’est-à-dire des briques logicielles que les développeurs intègrent dans leurs propres applications. Les pirates étaient parvenus à glisser 84 versions malveillantes de paquets TanStack sur le site officiel de NPM (Node Package Manager), la plateforme en ligne qui héberge des millions de paquets open source. Cette attaque a permis à TeamPCP de récupérer des identifiants de développeurs. C’est ainsi que les pirates ont mis la main sur les accès d’un développeur de l’équipe de Nx Console. On peut donc parler d’un véritable effet domino, qui a permis de renverser de nombreuses entités d’un seul coup.
Vol des identifiants d’un employé Github
Une fois installée, cette fausse extension a exécuté un programme malveillant en arrière-plan. Ce malware est programmé pour dérober en masse des identifiants et des secrets d’accès, comme des clés AWS, des tokens GitHub, ou encore des accès à des services cloud comme Kubernetes ou Google Cloud Platform. Armés des identifiants dérobés sur l’ordinateur de l’employé, les pirates ont ensuite pu se connecter à l’infrastructure interne de GitHub. Dans le système, ils n’ont pas tardé à exfiltrer le contenu de milliers de dépôts de code privés.
La plateforme n’a pas tardé à repérer la présence des pirates, et à débusquer l’extension à la source de l’attaque. L’extension malveillante a été promptement retirée de la boutique, l’ordinateur compromis a été isolé, et les mots de passe et clés d’accès critiques ont été changés. Comme l’explique Alexis Wales, la directrice de la sécurité de GitHub, les données des clients hébergées en dehors des dépôts concernés n’ont pas été compromises. Néanmoins, GitHub poursuit encore ses investigations pour faire la lumière sur le périmètre de l’intrusion.
« Nous poursuivons l’analyse des journaux, la vérification des rotations effectuées et la surveillance de notre infrastructure afin de repérer toute activité anormale. Des mesures supplémentaires seront prises si les conclusions de l’enquête le requièrent », déclare GitHub.
À lire aussi : McDo victime d’une fuite de données, les comptes fidélité des clients ont été siphonnés
Une nouvelle attaque signée TeamPCP
Derrière cette cyberattaque d’envergure, on trouve TeamPCP, un gang de cybercriminels spécialisé dans les attaques de la chaîne d’approvisionnement. Récemment, les hackers se sont déjà fait remarquer en compromettant LiteLLM, l’une des bibliothèques Python les plus utilisées dans l’écosystème de l’IA générative, ainsi qu’OpenAI et Mistral AI. C’est grâce au hack de TanStack (évoqué plus haut) qu’ils ont réussi à se retrouver sur le système informatique des deux entreprises spécialisées dans l’intelligence artificielle. Le mode opératoire ne change pas, d’une cyberattaque à une autre. D’autres projets open source, comme PyPI et Docker, ont également fait les frais des hackers.
Sur le dark web, le gang revendique le vol de 38 000 dépôts de code privés, des données confidentielles et protégées. Ils ont mis en vente les données volées à GitHub pour la somme de 50 000 dollars. Le gang n’exclut pas la possibilité de divulguer les données gratuitement, si aucune offre satisfaisante n’est reçue.
« Aucune offre dérisoire ne sera acceptée. Tout le matériel nécessaire à la plateforme principale est disponible et je serai ravi d’envoyer des échantillons aux acheteurs intéressés afin qu’ils puissent vérifier l’authenticité absolue », prévient TeamPCP.
GitHub, une cible de choix
Pour rappel, GitHub héberge les projets de 90 % des entreprises du classement Fortune 100, les plus grandes multinationales mondiales. Plus de 4 millions d’organisations dans le monde passent par GitHub.
C’est pourquoi une cyberattaque à l’encontre de la plateforme est susceptible d’avoir des conséquences désastreuses. GitHub souligne que ce type d’attaque via des extensions VS Code n’est pas nouveau. En 2025, des extensions totalisant 9 millions d’installations avaient déjà été retirées de la plateforme officielle pour des raisons de sécurité. Début de cette année, deux extensions, qui se présentaient comme des assistants d’IA, avaient servi à exfiltrer des données vers des serveurs en Chine. Tous ces incidents démontrent la fragilité des boutiques d’extensions. Celles-ci peinent toujours à bloquer les extensions malveillantes avant qu’il ne soit trop tard.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
